[Информационная безопасность] Социальные сети оказались безопаснее порталов государственных услуг
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.
Итак, мы исследовали три портала госуслуг – общероссийский, московский и подмосковный – по новым методикам расчета Индекса надежности HTTPS и Индекса защищенности от XSS, придуманным для проекта «Монитор госсайтов».
Исследовались не только основные хосты порталов, а целые «пулы» хостов, т.е. все обнаруженные хосты, с которых эти порталы загружают ресурсы в процессе получения гражданами электронной госуслуги: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru и т.д. Для сравнения мы также исследовали сайты «В контакте», «Одноклассники», «Сбербанк онлайн», личных кабинетов абонентов «Билайн», «Почты России», РЖД, «Аэрофлота» и портал авторизации в сервисах «Яндекса».
Результаты опубликованы в докладе «Порталы государственных услуг: мнимая защищенность», название которого достаточно красноречиво: Индекс надежности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных.
Эти баллы складывались из самозаверенного TLS-сертификата контролера входящего трафика Ingress Controller, выставленного в Сеть как сертификат веб-сайта, поддержки в 2021 году протокола SSL, незакрытых CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) и прочих чудес на серверах, чье ПО не обновлялось годами, а настройки приличествуют скорее сайту пивной палатки, чем государственному порталу, обрабатывающему и хранящему личную, финансовую и иную чувствительную информацию миллионов россиян, «защищая» ее в том же 2021 году шифронабором TLS_RSA_WITH_3DES_EDE_CBC_SHA. Если кто не уловил сарказма, то все алгоритмы, используемые в этом шифронаборе, ненадежны либо уязвимы.
Для сравнения индекс сайта «Аэрофлота» составил 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно. Красивая диаграмма с результатами прилагается:
Да, зрение вас не подводит: у «Сбербанк онлайн» один из худших рейтингов. Не верите – проверьте, ознакомьтесь с методикой, с пояснениями к ней, найдите изъяны, ткните в них носом – будем признательны и займемся доработкой.
Не лучшие результаты у порталов госуслуг и в Индексе защищенности от XSS: 0 баллов у всероссийского и по 10 баллов у московского и подмосковного. Среди сторонних ресурсов, загружаемых на эти порталы – карты, «бесплатные» библиотеки, шрифты, системы аналитики и далее со всеми остановками из стандартного набора начинающего веб-разработчика с бюджетом в 5000 рублей. Оригинальностью отличился лишь московский портал, подгружающий своим посетителям ресурсы рекламной сети AdFox.
В контрольной группе снова лидируют порталы социальных сетей, хотя и их результат нельзя назвать выдающимся. Сайт РЖД, как и всероссийский портал госуслуг, рейтинга вообще не получил, т.к. не соответствует ни одному критерию, принимаемому в расчет при его составлении. Впрочем, «Одноклассники» оказались буквально в одном шаге (вернее, балле) от более высокой «лиги».
Снова слайды диаграмма:
И тут, кроме традиционной дискуссии о том, зачем корпорациям лучезарного бобра стремиться пролезть на каждый сайт в Интернете – из альтруистической заботы о всеобщем благе или корыстного желания контролировать все и вся особенно финансовые потоки – возникает не менее интересная тема: как наличие стороннего контента на порталах госуслуг сочетается с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»?
Ну вот все эти запреты использовать информационные системы, размещенные за пределами Российской Федерации, предоставлять удаленный доступ к используемым программным средствам посторонним лицам и передавать им информацию, включая «телеметрию» – принимаются в расчет только при распиле госзаказе и строительстве Великого Китайского Российского Чебурнета или всегда?
Вопрос, разумеется, не к хабровчанам, поэтому собираемся задать его ФСТЭК или ФСБ, если они не очень заняты придумыванием очередного убедительного объяснения, как закалялась сталь куда делись таблицы подстановки «Кузнечика».
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка под iOS, Серверное администрирование] Apple начала направлять трафик безопасного просмотра в Safari на свои серверы вместо Google
- [Информационная безопасность, Разработка мобильных приложений, IT-компании] ЦБ сообщил банкам о новом типе атаки на счета юридических лиц через мобильное приложение
- [Информационная безопасность] Security Week 07: конфуз с зависимостями в софте
- [Информационная безопасность, Работа с видео, Алгоритмы, Обработка изображений] Исследователи показали, как обмануть лучшие из существующих детекторов дипфейков
- [Информационная безопасность, Реверс-инжиниринг, Исследования и прогнозы в IT, IT-компании] Kremlin RATs: история одной мистификации
- [Информационная безопасность, Производство и разработка электроники, Процессоры, IT-компании] Bloomberg снова обвинило китайскую SuperMicro в поставке «шпионских» чипов
- [Информационная безопасность] Enrolling and using Token2 USB Security keys with UserLock MFA
- [Информационная безопасность, Разработка под iOS, Монетизация мобильных приложений, Контекстная реклама] Google начала обновлять iOS-приложения в соответствии с требованиями Apple
- [Информационная безопасность, Ruby on Rails, CTF] HackTheBox. Прохождение Jewel. RCE в Ruby on Rails, sudo и google authenticator, выполнение кода в gem
- [Информационная безопасность, Администрирование доменных имен, Законодательство в IT] ИБ-компании пожаловались на захват Facebook доменов для фишинг-тестов
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_https, #_tls, #_cve, #_xss, #_gosuslugi (госуслуги), #_sajty (сайты), #_bezopasnost (безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 10:58
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку. Итак, мы исследовали три портала госуслуг – общероссийский, московский и подмосковный – по новым методикам расчета Индекса надежности HTTPS и Индекса защищенности от XSS, придуманным для проекта «Монитор госсайтов». Исследовались не только основные хосты порталов, а целые «пулы» хостов, т.е. все обнаруженные хосты, с которых эти порталы загружают ресурсы в процессе получения гражданами электронной госуслуги: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru и т.д. Для сравнения мы также исследовали сайты «В контакте», «Одноклассники», «Сбербанк онлайн», личных кабинетов абонентов «Билайн», «Почты России», РЖД, «Аэрофлота» и портал авторизации в сервисах «Яндекса». Результаты опубликованы в докладе «Порталы государственных услуг: мнимая защищенность», название которого достаточно красноречиво: Индекс надежности HTTPS подмосковного портала госуслуг составил 37 баллов, всероссийского – 12, а московского – 11 из 108 возможных. Эти баллы складывались из самозаверенного TLS-сертификата контролера входящего трафика Ingress Controller, выставленного в Сеть как сертификат веб-сайта, поддержки в 2021 году протокола SSL, незакрытых CVE-2014-3566 (POODLE), CVE-2016-2183/CVE-2016-6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) и прочих чудес на серверах, чье ПО не обновлялось годами, а настройки приличествуют скорее сайту пивной палатки, чем государственному порталу, обрабатывающему и хранящему личную, финансовую и иную чувствительную информацию миллионов россиян, «защищая» ее в том же 2021 году шифронабором TLS_RSA_WITH_3DES_EDE_CBC_SHA. Если кто не уловил сарказма, то все алгоритмы, используемые в этом шифронаборе, ненадежны либо уязвимы. Для сравнения индекс сайта «Аэрофлота» составил 60 баллов, а социальных сетей «В контакте» и «Одноклассники» – 57 и 58 баллов соответственно. Красивая диаграмма с результатами прилагается:  Да, зрение вас не подводит: у «Сбербанк онлайн» один из худших рейтингов. Не верите – проверьте, ознакомьтесь с методикой, с пояснениями к ней, найдите изъяны, ткните в них носом – будем признательны и займемся доработкой. Не лучшие результаты у порталов госуслуг и в Индексе защищенности от XSS: 0 баллов у всероссийского и по 10 баллов у московского и подмосковного. Среди сторонних ресурсов, загружаемых на эти порталы – карты, «бесплатные» библиотеки, шрифты, системы аналитики и далее со всеми остановками из стандартного набора начинающего веб-разработчика с бюджетом в 5000 рублей. Оригинальностью отличился лишь московский портал, подгружающий своим посетителям ресурсы рекламной сети AdFox. В контрольной группе снова лидируют порталы социальных сетей, хотя и их результат нельзя назвать выдающимся. Сайт РЖД, как и всероссийский портал госуслуг, рейтинга вообще не получил, т.к. не соответствует ни одному критерию, принимаемому в расчет при его составлении. Впрочем, «Одноклассники» оказались буквально в одном шаге (вернее, балле) от более высокой «лиги». Снова слайды диаграмма:  И тут, кроме традиционной дискуссии о том, зачем корпорациям лучезарного бобра стремиться пролезть на каждый сайт в Интернете – из альтруистической заботы о всеобщем благе или корыстного желания контролировать все и вся особенно финансовые потоки – возникает не менее интересная тема: как наличие стороннего контента на порталах госуслуг сочетается с требованиями Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»? Ну вот все эти запреты использовать информационные системы, размещенные за пределами Российской Федерации, предоставлять удаленный доступ к используемым программным средствам посторонним лицам и передавать им информацию, включая «телеметрию» – принимаются в расчет только при распиле госзаказе и строительстве Великого Китайского Российского Чебурнета или всегда? Вопрос, разумеется, не к хабровчанам, поэтому собираемся задать его ФСТЭК или ФСБ, если они не очень заняты придумыванием очередного убедительного объяснения, как закалялась сталь куда делись таблицы подстановки «Кузнечика». =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 10:58
Часовой пояс: UTC + 5